Cybereasonは中国の国家的活動していると考えられる脅威組織が、ロシア海軍の原子力潜水艦の設計に携わるロシアの防衛関連企業を標的にしていることを確認したと調査結果を発表しました。
Cybereason社によると、今回の攻撃は、ロシアの原子力潜水艦の大半を設計しているサンクトペテルブルクの造船会社、Rubin Design Bureauに勤務する部長を狙ったスピアフィッシングであったとのことです。メールの添付ファイルには、自律型水中ロボットの説明を含む悪意のあるリッチテキストファイル(RTF)文書が含まれていました。
このメールの添付ファイルは、RoyalRoadペイロードで武器化されていました。このペイロードは、Tick、Tonto Team、Goblin Panda、Rancor、TA428など、複数の中国関連の脅威組織が使用しています。このツールは、Microsoft社のEquation Editorに存在する以下の脆弱性を悪用した武器化されたRTF文書を生成します。
興味深いことに、この攻撃グループのRoyalRoadサンプルは、異常な特性を示し、同社が「難読化と持続性を念頭に設計された」これまで文書化されていなかったバックドアである「PortDoor」マルウェアと呼んでいるものを配信していたと、Cybereasonは述べています。このマルウェアは、偵察、ターゲットのプロファイリング、追加ペイロードの配信、特権の昇格、静的検知によるアンチウイルスの回避、半角XOR暗号化、AES暗号化されたデータの流出など、複数の機能を備えています。
Cybereasonは、この攻撃が既知の脅威グループによるものであると断定することはできませんでしたが、いくつかの中国のAPTグループとの類似点があると述べています。
nao_secの調査によると、悪意のあるRTF文書はRoyalRoad v7で作成されており、Tonto Team、TA428、Rancorで使用されていることが確認されているヘッダーエンコーディングを使用しています。
これらのグループのうち、Tonto TeamとTA428は、ロシアの研究・防衛機関を標的とした攻撃に関連しています。また、これらのグループが使用したスピアフィッシングメールやルアー文書には、「攻撃者が使用した言語や視覚的スタイルに一定の類似性が見られる」とCybereasonは述べており、これらのグループを “プロファイルに合致する潜在的な容疑者 “と呼んでいます。
なお、Rubin Design Bureauからはコメントを求められていません。
Comments